Definieren von GPOs

  • 7 Minuten

Seit den frühen Versionen von Windows Server hat das Gruppenrichtlinien-Feature von Windows-Betriebssystemen eine Infrastruktur bereitgestellt, mit der Administratoren Einstellungen zentral definieren und dann auf den Computern in ihren Organisationen bereitstellen können.

So kann das IT-Team von Contoso die gesamte Konfiguration mithilfe von GPO-Einstellungen definieren, durchsetzen und aktualisieren. Durch die Verwendung von GPO-Einstellungen können sie sich auf eine gesamte Website oder eine Domäne innerhalb ihrer Organisation auswirken, oder sie können den Fokus auf eine einzelne ORGANISATIONSeinheit einschränken.

Tipp

Durch Filterung basierend auf der Zugehörigkeit zu Sicherheitsgruppen und den Attributen für physische Computer kann Contoso das Ziel für die GPO-Einstellungen noch weiter verfeinern.

Was ist eine Gruppenrichtlinie?

Gruppenrichtlinie ist ein Framework in Windows-Betriebssystemen mit Komponenten, die sich in AD DS, auf Domänencontrollern und auf jedem Windows Server und Client befinden. Mit diesen Komponenten können Sie die Konfiguration in einer AD DS Domäne verwalten. Sie legen Gruppenrichtlinieneinstellungen in einem GPO fest. Bei einem GPO handelt es sich um ein Objekt, das eine oder mehrere Richtlinieneinstellungen enthält, die für eine oder mehrere Konfigurationseinstellungen eines Benutzers oder Computers gelten.

Screenshot der Gruppenrichtlinien-Verwaltungskonsole. Der Administrator hat die Contoso.com Domäne ausgewählt. Angezeigt werden drei GPOs. Außerdem werden die OUs in der Domäne angezeigt, von denen einige verknüpfte GPOs haben.

Gruppenrichtlinien sind ein leistungsfähiges Verwaltungstool. Mithilfe von GPOs können Sie verschiedene Einstellungen auf eine Vielzahl von Benutzern und Computern übertragen. Da Sie sie auf verschiedene Ebenen anwenden können, von dem lokalen Computer auf die Domäne, können Sie diese Einstellungen auch genau konzentrieren. Gruppenrichtlinien werden hauptsächlich zum Konfigurieren von Einstellungen verwendet, die Benutzer nicht konfigurieren sollen. Darüber hinaus können Sie gruppenrichtlinien verwenden, um Desktopumgebungen auf allen Computern in einer Organisationseinheit (OU) oder in einer gesamten Organisation zu standardisieren. Sie können auch Gruppenrichtlinien verwenden, um zusätzliche Sicherheit bereitzustellen, einige erweiterte Systemeinstellungen zu konfigurieren und für andere Zwecke, die in einer nachfolgenden Demonstrationseinheit behandelt werden.

Screenshot des Gruppenrichtlinienverwaltungs-Editors. Der Administrator hat die Knoten

Was sind GPOs?

Die differenzierteste Komponente einer Gruppenrichtlinie ist eine einzelne Richtlinieneinstellung. Eine einzelne Richtlinieneinstellung definiert eine bestimmte Konfiguration, z. B. eine Richtlinieneinstellung, die verhindert, dass ein Benutzer auf Tools für die Bearbeitung der Registrierung zugreifen kann. Wenn Sie diese Richtlinieneinstellung definieren und dann auf einen Benutzer anwenden, kann dieser Benutzer keine Tools wie "Regedit.exe" ausführen.

Einige Einstellungen, sogenannte Benutzerkonfigurationseinstellungen oder Benutzerrichtlinien, wirken sich auf einen Benutzer aus. Andere Einstellungen, sogenannte Computerkonfigurationseinstellungen oder Computerrichtlinien, wirken sich auf Computer aus.

Von Bedeutung

Einstellungen wirken sich nicht direkt auf Gruppen aus und gelten nur für Benutzer- und Computerobjekte.

Mit Gruppenrichtlinien werden verschiedene Richtlinieneinstellungen verwaltet und das Gruppenrichtlinien-Framework ist erweiterbar. Sie können nahezu jede konfigurierbare Einstellung mit Gruppenrichtlinien verwalten.

Screenshot des Dialogfelds

So definieren Sie eine Richtlinieneinstellung:

  1. Suchen Sie im Gruppenrichtlinienverwaltungs-Editor nach der Richtlinieneinstellung und drücken Sie dann die EINGABETASTE. Das Dialogfeld "Eigenschaften" der Richtlinieneinstellung wird angezeigt.
  2. Ändern Sie den Richtlinienstatus in "Aktiviert " oder "Deaktiviert". Die meisten Richtlinieneinstellungen können drei Status aufweisen: "Nicht konfiguriert", "Aktiviert" und "Deaktiviert".
  3. Wenn erforderlich, konfigurieren Sie zusätzliche Werte, und wählen Sie nach Abschluss "OK" aus.

GPOs speichern Gruppenrichtlinieneinstellungen. In einem neuen GPO weist jede Richtlinieneinstellung standardmäßig den Status Nicht konfiguriert auf. Wenn Sie eine Richtlinieneinstellung aktivieren oder deaktivieren, ändert Windows Server die Konfiguration von Benutzern und Computern, auf die das GPO angewendet wird.

Hinweis

Wenn Sie eine Einstellung auf den Wert " Nicht konfiguriert " zurückgeben, geben Sie sie an den Standardwert zurück.

So erstellen Sie ein neues GPO in einer Domäne:

  1. Klicken Sie mit der rechten Maustaste auf den Container Gruppenrichtlinienobjekte, um das Kontextmenü zu öffnen, und wählen Sie dann Neu aus.
  2. Wenn Sie die Konfigurationseinstellungen in einem Gruppenrichtlinienobjekt ändern möchten, klicken Sie mit der rechten Maustaste, oder greifen Sie auf das Kontextmenü für das Gruppenrichtlinienobjekt zu, und wählen Sie dann "Bearbeiten" aus. Dadurch wird das Snap-in "Gruppenrichtlinienverwaltungs-Editor" geöffnet.

Der Gruppenrichtlinienverwaltungs-Editor zeigt alle Richtlinieneinstellungen an, die in einem Gruppenrichtlinienobjekt in einer organisierten Hierarchie verfügbar sind, die mit der Aufteilung zwischen Computereinstellungen und Benutzereinstellungen beginnt: dem Knoten " Computerkonfiguration " und dem Knoten " Benutzerkonfiguration ".

GPOs werden in einem Container namens "Gruppenrichtlinienobjekte" angezeigt. Die nächsten beiden Ebenen der Hierarchie sind Knoten mit dem Namen "Richtlinien und Einstellungen". Im Gruppenrichtlinienverwaltungs-Editor werden hierarchisch angeordnete Ordner angezeigt, sogenannte Knoten oder Richtlinieneinstellungsgruppen. Die Richtlinieneinstellungen befinden sich in den Ordnern.

Was sind Starter-Gruppenrichtlinienobjekte?

Sie können ein Starter-Gruppenrichtlinienobjekt als Vorlage verwenden, aus der andere GPOs in der Gruppenrichtlinien-Verwaltungskonsole erstellt werden. Starter-Gruppenrichtlinienobjekte verfügen nur über Einstellungen für administrative Vorlagen. Sie können ein Starter-Gruppenrichtlinienobjekt verwenden, um einen Ausgangspunkt für die Erstellung neuer GPOs in Ihrer Domäne bereitzustellen. Das Starter-Gruppenrichtlinienobjekt weist u. U. bereits bestimmte Einstellungen auf, die für Ihre Umgebung am besten geeignet sind. Sie können Starter-Gruppenrichtlinienobjekte in CAB-Dateien exportieren und daraus importieren, um eine einfache und effiziente Verteilung an andere Umgebungen zu ermöglichen.

Hinweis

Die Gruppenrichtlinien-Verwaltungskonsole speichert Start-GPOs in einem Ordner namens StarterGPOs, der sich in SYSVOL befindet.

Hinweis

SYSVOL ist ein freigegebener Ordner auf Domänencontrollern.

Microsoft stellt vorkonfigurierte Starter-Gruppenrichtlinienobjekte für Windows-Clientbetriebssysteme zur Verfügung. Diese Start-GPOs verfügen über Administrative Vorlageneinstellungen , die bewährte Methoden widerspiegeln, die Microsoft für die Konfiguration der Clientumgebung empfiehlt.